image

Forensisch expert: Encryptie heeft voor- en nadelen (Interview)

woensdag 25 oktober 2006, 11:23 door Redactie, 9 reacties

Tijdens een themaweek over IT forensics mag een interview met een forensisch expert natuurlijk niet ontbreken. Wij interviewden Ir Johan ten Houten, een van de grondleggers van IT Forensics (sinds 1990) in Nederland. Gisteren publiceerden we al een artikel van hem "ICT forensics, fraude en informatiebeveiliging", waarin de rol van ICT in forensische onderzoeken werd behandeld. Dit interview gaat in op de praktijk van de forensisch onderzoeker en waar hij/zij mee te maken krijgt. Vanwege de lengte vandaag deel 1.

Wat is het eerste wat je doet als je een machine van een verdachte in handen krijgt of op de plaats van een delict komt?

Ten Houten: Indien de machines nog in gebruik zijn is het essentieel om zo snel mogelijk alle handelingen op de computers stop te zetten en de situatie te bevriezen. Dit houdt in het stopzetten van alle mogelijke communicatie (muis, toetsenbord en netwerk) en het afsluiten van de computer.
In de meeste gevallen is de gewone shutdown procedure voldoende. Als het een incident betreft (denk aan virus of computer hacking) is het soms verstandig de stroom abrupt af te sluiten.
Belangrijk is in alle gevallen heel nauwkeurig vast te leggen wat er gedaan is. (foto’s of aantekeningen, situatie schets)
Per machine wordt vervolgens een onderzoeksformulier aangemaakt waarop de kenmerken van het systeem worden vastgelegd.
Daarna wordt de systeemkast geopend en een image (exacte digitale kopie van harde schijf wordt gemaakt) en opgeslagen op een externe USB disk. De hash waarde van de image (het bestand dat de exacte digitale kopie van de harde schijf is), wordt op het onderzoeksformulier opgeschreven.

Forensisch onderzoek wordt zeker sinds series als CSI omgeven door een zweem van mysterie. Gaat het er inderdaad zo aan toe als in de TV series?

Ten Houten: Ten dele is er overeenkomst tussen een CSI serie en een forensisch onderzoek. Voor een buitenstaander zijn de onderzoeken inderdaad omgeven door een zweem van mysterie. Echter “forensisch” betekent ten behoeve van het recht en de resultaten kunnen daarom in een rechtszaak gebruikt worden. Het onderzoek is daarom veel meer gericht op het bewaren van de chain of evidence – de keten van bewijsvoering - en de herleidbaarheid van de resultaten. Een forensisch onderzoek is gericht op het vastleggen van feiten en niet gericht op hypotheses en die proberen te toetsen aan bewijsmateriaal.

Hoe maak je van een live machine een forensische fingerprint?

Ten Houten: Het is niet altijd mogelijk een machine uit te zetten om een exacte digitale kopie van de harde schijf te maken. Immers daarvoor moet de harde schijf uitgebouwd worden en op speciale apparatuur aangesloten worden. Om een image van een live machine te maken wordt een kopie gemaakt door de vanaf de command line een forensische tool (op CD of USB disk) aan te roepen. Hiermee kunnen we een image van een fysieke of logische schijf maken en over het netwerk naar een andere computer sturen of naar direct naar een USB disk wegschrijven.

Wat zijn verplichte certificeringen en opleidingen mensen die forensisch expert willen worden?

Ten Houten: Voor een forensisch onderzoeker is natuurlijk een gedegen kennis van IT en dan in het bijzonder computer architectuur en besturingssystemen, belangrijk. Deze kennis is nodig voor het analyseren van data en het zoeken naar bewijs.
Verplichte certificeringen zijn er eigenlijk niet. Er zijn wel een hoop certificeringen mogelijk. Er zijn verschillende commerciële tools (FTK, ENCASE) die een eigen opleiding en certificering kennen, maar ook commerciële organisaties geven hele goede cursussen digitaal rechercheren. Er is zelfs een MBO opleiding tot digitale rechercheur. Bij Deloitte hebben we een intern opleidingstraject dat elk jaar wordt gegeven, aangevuld met diverse avondcursussen.

Over welke kwaliteit beschikt een goede forensische expert

Ten Houten: Een goede forensisch onderzoeker is in de eerste plaats nauwgezet. Een goede tweede eigenschap is dat hij of zij erg nieuwsgierig en onderzoekend is. Altijd op zoek zijn naar nieuwe aanwijzingen of juist het ontbreken daarvan. En telkens weer zich afvragen of je bevindingen gebaseerd zijn op feiten. Daarnaast is het belangrijk dat je goed kan vastleggen wat je doet en helder kan rapporteren en goed in teamverband kan werken.

Werk je als forensisch expert alleen of is het meer een team aangelegenheid?

Ten Houten: Al ons werk is een combinatie van verschillende disciplines. Ten eerste beschikt niet iedereen over dezelfde expertise op technisch vlak. Als we een onderzoek doen naar fraude dan beschikt ook niet iedere forensisch ICT onderzoeker over alle noodzakelijke kennis op het financiële vlak. Het onderzoek, de vraagstelling en de omgeving bepaalt daardoor de samenstelling van het team.
Daarnaast worden de bevindingen vanwege het zwaarwegende karakter van de onderzoeken (lees de mogelijke gevolgen voor een betrokkene) altijd door een tweede onderzoeker geverifieerd.

Op welke manieren heb je als onderzoeker te maken met de nadelen van encryptie, en hoe kraak je versleutelde bestanden?

Ten Houten: Met encryptie hebben we soms te maken, zeker als de dader bewust is van de gevolgen van zijn of haar daden. Zij willen voorkomen dat bepaalde gegevens zichtbaar zijn voor anderen. We kunnen in zo’n geval vaak inschatten of het betreffende document waardevol is voor het onderzoek op basis van andere gegevens (bijvoorbeeld referenties naar het document of de inhoud van een E-mail bericht). Voor de meeste toepassingen zijn oplossingen beschikbaar om de inhoud van het document of het wachtwoord te achterhalen.

Encryptie heeft voor ons een voordeel en een nadeel. Onze forensische software identificeert automatisch beveiligde documenten zodat we heel snel mogelijke verdachte documenten kunnen vinden. Of wij een document kunnen terughalen binnen een bepaalde tijd is afhankelijk van de expertise van gebruiker en de onderliggende methodes. Uiteindelijk is (bijna) alles met voldoende tijd te kraken. Het is belangrijk in te schatten wat de inhoud van een document zou kunnen opleveren voordat we aan het kraken beginnen. Vaak kan dezelfde informatie ook op andere wijze worden achterhaald.

Vind je dat, net als straks in Engeland, Nederlandse verdachten verplicht moeten worden om hun encryptie sleutel af te staan?

Ten Houten: Dit is meer politiek dan forensisch onderzoek. Encryptie is een zwaard dat aan twee kanten snijdt. Ik ben tegen het beperken van de techniek of het elders opslaan van delen van de encryptie sleutel, immers dat verzwakt de beveiliging.
Een mogelijk alternatief is de betrokkene te verplichten in voorkomend geval de gegevens (wachtwoord of sleutel) beschikbaar te stellen. Zo behouden we goede beveiliging van onze gegevens en staat encryptie de opsporing niet in de weg.
Ik weet dat deze discussie in Nederland ook heeft plaatsgevonden, vraag die daarbij aan te pas komt is welke strafmaat hoort daarbij als iemand alsnog weigert mee te werken. Kun je je werkelijke straf ontlopen door te weigeren je sleutel af te geven, en is ons rechtsysteem dan zo ingericht dat iemand dan veroordeelt kan worden voor iets wat niet bewezen is of een straf krijgt die daarmee in evenwicht is. Deze oplossing zal in Nederland nog lang op zich laten wachten.

In navolging van bovenstaande twee vragen, In Windows Vista zal BitLocker standaard bestanden versleutelen, op deze manier is encryptie voor de eerste keer op een eenvoudige manier toegankelijk voor de massa. Zien forensisch experts de toekomst met lede ogen tegemoet?

Ten Houten: Nee, niet echt. Ten eerste omdat er veel meer informatie beschikbaar is voor een onderzoek dan alleen bestanden op een computer. Ten tweede zien we een trend waarbij bedrijven computers uitrusten met speciale software om in ieder geval aangetoond kan worden dat ze voldoen aan vele wet en regelgevingen. Vooral organisaties die te maken (kunnen) hebben met de Amerikaanse overheid gaan over tot het gebruik van deze software. Hiermee is het mogelijk om in bepaalde gevallen de beveiliging te doorbreken.
Ook de communicatie tussen twee partijen (min of meer alle informatie wordt met meerdere parijen gedeeld) biedt ons de mogelijkheid documenten op verschillende locaties te achterhalen.

Morgen deel 2 van het interview met ten Houten

Reacties (9)
25-10-2006, 11:38 door Anoniem
quote]Dit houdt in het stopzetten van alle mogelijke
communicatie (muis, toetsenbord en netwerk) en het afsluiten
van de computer.
In de meeste gevallen is de gewone shutdown procedure
voldoende. Als het een incident betreft (denk aan virus of
computer hacking) is het soms verstandig de stroom abrupt af
te sluiten.[/quote]
Hmmm, deze twee regels bevatten een tegenstrijdigheid.
Daarnaast ben ik van mening dat het memory image van een
draaiende machine zeer veel relevante informatie op kan
leveren die je op deze manier niet te pakken krijgt.
25-10-2006, 13:20 door Anoniem
Wat is de tegenstrijdigheid dan? Want ik zie hem niet. Er wordt toch
over "in de meeste gevallen" en "soms" gesproken.

Ik ben het met je eens dat het onderzoeken van memory in sommige
gevallen belangrijk is. Ik lees ook andere dingen niet die bij een incident
response van belang zijn. Is dat erg in dit geval??? Voor mij is dit een
interview en geen handleiding hoe te handelen bij incidenten.
25-10-2006, 14:15 door Anoniem
Wat zijn verplichte certificeringen en opleidingen mensen die
forensisch expert willen worden?

Ten Houten: Voor een forensisch onderzoeker is natuurlijk een gedegen
kennis van IT en dan in het bijzonder computer architectuur en
besturingssystemen, belangrijk. Deze kennis is nodig voor het analyseren
van data en het zoeken naar bewijs.
Verplichte certificeringen zijn er eigenlijk niet. Er zijn wel een hoop
certificeringen mogelijk. Er zijn verschillende commerciële tools (FTK,
ENCASE) die een eigen opleiding en certificering kennen, maar ook
commerciële organisaties geven hele goede cursussen digitaal
rechercheren. Er is zelfs een MBO opleiding tot digitale rechercheur. Bij
Deloitte hebben we een intern opleidingstraject dat elk jaar wordt gegeven,
aangevuld met diverse avondcursussen.

Het belangrijkste vergeet Johan te vermelden. Bedrijven die dit soort
onderzoeken doen zijn vergunningplichtig. Kijk maar eens in de "Wet
particuliere beveiligingsorganisaties en recherchebureaus". In deze wet
staat ook dat de mensen die het werk uitvoeren in het bezit moeten zijn van
het diploma Particulier Onderzoeker.
25-10-2006, 14:29 door Anoniem
Een gewone shutdown-procedure is niet correct, er kunnen dan
processen gestart worden die gegevens wipen. Bij de politie
is het de gewoonte te beschrijven wat de gegevens zijn op
het scherm (foto's bijvoorbeeld) en vervolgens gewoon de
stekker uit het stopcontact te halen. Deze procedure gaat
bijvoorbeeld weer niet op met een server, bij een server kan
het van belang zijn deze gewoon conform de procedure af te
sluiten om te voorkomen dat bv een Exchange Database corrupt
raakt.

(Zelf ben ik sinds 2001 werkzaam in de forensisch ICT eerst
bij de politie en vervolgens in het bedrijfsleven)
25-10-2006, 15:05 door Anoniem
Door Anoniem
Een gewone shutdown-procedure is niet correct, er kunnen dan
processen gestart worden die gegevens wipen. Bij de politie
is het de gewoonte te beschrijven wat de gegevens zijn op
het scherm (foto's bijvoorbeeld) en vervolgens gewoon de
stekker uit het stopcontact te halen. Deze procedure gaat
bijvoorbeeld weer niet op met een server, bij een server kan
het van belang zijn deze gewoon conform de procedure af te
sluiten om te voorkomen dat bv een Exchange Database corrupt
raakt.

(Zelf ben ik sinds 2001 werkzaam in de forensisch ICT eerst
bij de politie en vervolgens in het bedrijfsleven)

En wat dacht je van de write-cache op RAID-controllers, hard
disk cache, in-memory buffers van file systems en gegevens
die alleen in memory decrypted te vinden zijn?
25-10-2006, 15:09 door Anoniem
Door Anoniem
Een gewone shutdown-procedure is niet correct, er kunnen dan
processen gestart worden die gegevens wipen. Bij de politie
is het de gewoonte te beschrijven wat de gegevens zijn op
het scherm (foto's bijvoorbeeld) en vervolgens gewoon de
stekker uit het stopcontact te halen. Deze procedure gaat
bijvoorbeeld weer niet op met een server, bij een server kan
het van belang zijn deze gewoon conform de procedure af te
sluiten om te voorkomen dat bv een Exchange Database corrupt
raakt.

(Zelf ben ik sinds 2001 werkzaam in de forensisch ICT eerst
bij de politie en vervolgens in het bedrijfsleven)

Helmaal mee eens, beste optie is de netwerk stekker er uit en het
systeem aanlaten. Geen shutdown.
25-10-2006, 17:13 door Anoniem
Deze aanpak werkt bij 'traditionele' problemen met
computers. Zodra je een geavanceerd probleem hebt waarbij
persistente geheugens, zoals harddisks, niet geraakt worden
ben je alle gegevens kwijt. Daarnaast breek je een van de
grondregels van een forensich onderzoeker, je verandert de
omgeving die je aan het onderzoeken bent.
25-10-2006, 17:29 door Anoniem
Toch goed dat ik de accu in mijn Thinkpadjes onverwijderbaar
heb gemonteerd en er dus altijd van een standaard systeem
shutdown gebruik moet worden gemaakt. Hierbij maakt een
evidence wiper het systeem "schoon" als deze word afgesloten. :P
25-10-2006, 21:44 door Anoniem
Een gewone shutdown-procedure is niet correct, er kunnen dan
processen gestart worden die gegevens wipen. Bij de politie
is het de gewoonte te beschrijven wat de gegevens zijn op
het scherm (foto's bijvoorbeeld) en vervolgens gewoon de
stekker uit het stopcontact te halen.
Voor forensisch gebruik, zorg dat je zo goed mogelijk op de hoogte komt
van hoe BitLocker (overigens alleen in de high end edities van Vista) werkt.
Ik weet vrij zeker dat je de bovenstaande procedure wil gaan herzien in dat
kader.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.